我有一个针对单个 AD 域进行身份验证的 OpenVPN 服务器。
这是我的身份验证-ldap.conf与 OpenVPN 一起使用
<LDAP>
URL ldap://ad1.test.company:389,ldap://ad2.test.company:389
BindDN "CN=openvpnauth,CN=Users,DC=test,DC=company"
Password "A!thP123w00rd"
Timeout 15
TLSEnable no
FollowReferrals yes
</LDAP>
<Authorization>
BaseDN "DC=test,DC=company"
SearchFilter "(sAMAccountName=%u)"
RequireGroup true
<Group>
BaseDN "CN=Users,DC=test,DC=company"
SearchFilter "(cn=VPN Users)"
MemberAttribute "member"
</Group>
因此,上述内容根据 AD 验证用户身份并按设计运行。
"CN=Users,DC=test,DC=company"
它在(默认的 '/Users' OU)内搜索用户组“VPN Users”
如果用户设置了适当的组VPN Users
,则允许用户加入!
我想要将用户添加到另一个单独的 OU,例如: Team1/桌面用户/标准用户可能是我的新 OU,其中包含用户。我希望允许该 OU 中的用户以及原始 OU 中的用户。
这会像<Group>
在配置中添加另一个对象一样简单吗?
答案1
这有效:
<Group>
BaseDN "DC=test,DC=company"
SearchFilter "(cn=VPN Users)"
MemberAttribute "member"
</Group>
答案2
您可以将基本 DN 更改为域根,例如 dc=domian,dc-com,这将涵盖域中的所有 OU,并且可能需要更多时间来搜索用户/组
最好使用相应的 OU 或父 OU 进行有效搜索
答案3
要在配置中添加更多组,只需输入:
SearchFilter "(|(cn=VPN Users)(cn=other group))"